Errores de la VPN de acceso remoto nacional o cómo hacerla estable





Situación



Los usuarios de soluciones VPN nacionales se quejan de la estabilidad y la facilidad de uso. Como ingeniero, estoy buscando la raíz de los problemas de los usuarios.



La VPN doméstica es como el café. Así como el sabor y el aroma del café dependen del talento del barista, las soluciones VPN requieren la preparación adecuada. Usando el ejemplo de C-Terra VPN, mostraré de qué se quejan los usuarios y cómo evitarlo.



Datos iniciales



Tengo que transferir 500 empleados al trabajo remoto. Para ello utilizo C-Terra VPN versión 4.3. Desde productos VPN, necesito S-Terra Gateway para el centro y software cliente S-Terra Client para las computadoras portátiles de los empleados.



Utilizo S-Terra Gateway solo para RA VPN. Los 500 usuarios se conectan a la puerta de enlace al mismo tiempo.



Decisión en la frente



En la arquitectura IKE / IPsec, una conexión de cliente se considera un túnel separado. Esto significa que necesito una puerta de enlace capaz de soportar 500 túneles al mismo tiempo. Abro el sitio web del proveedor y veo que tres modelos son adecuados para mí:



Modelo de puerta de enlace de

seguridad

Número de

túneles que operan simultáneamente

Puerta de enlace S-Terra 2000

500

S-Terra Gateway 3000

1000

Puerta de enlace S-Terra 7000

No limitado



Quiero ahorrar algo de dinero, coger el C-Terra Gateway 2000. En silencio empiezo a odiar el mundo.



Piedra 1. Se necesita tiempo para construir 500 túneles, el



usuario vendrá con algo como esto: "¡Este Estera nunca se conecta la primera vez, nunca realmente!"



C-Terra Gateway en RA VPN funciona como respuesta a las conexiones de los clientes. Según mis observaciones, se construyen alrededor de 10 túneles por segundo (valor promedio para los

modelos de puerta de enlace considerados ). En consecuencia, se necesitarán 50 segundos para construir 500 túneles, redondeando a un minuto honesto.



Nuestro usuario no tiene suerte. Cada vez que un usuario se conecta a la puerta de enlace, el usuario se pone en cola. Debe esperar hasta 60 segundos. El usuario activo intentará reiniciar el cliente y así volver a conectarse, pero terminará al final de la cola. Indique al usuario que es mejor esperar en tales situaciones.



Stone 2. Los túneles IPsec se reconstruyen periódicamente.



Para el usuario, se ve así: "¡Este Estera se cae periódicamente y no vuelve a conectarse la primera vez!"



La vida útil de un túnel IPsec está limitada por la cantidad de tráfico o el tiempo. Cuando

se reconstruye el túnel, se genera una nueva clave de cifrado simétrico de sesión.



Ahora imagínese: los túneles han decidido reconstruir más o menos al mismo tiempo. De nuevo cola y maldiciones. Para evitar esto, se debe establecer un delta (DELTA) en el Security Gateway, que cambiará aleatoriamente la vida útil de cada uno de los túneles.



Piedra 3. Las puertas de enlace de seguridad tienen un rendimiento de cifrado limitado.



Abro el sitio web del proveedor y veo:

Modelo de puerta de enlace de

seguridad



Rendimiento máximo de cifrado, Mbps

Rendimiento

Cifrado IMIX Mbit / s

Puerta de enlace S-Terra 2000

380

250

S-Terra Gateway 3000

1550

1180

Puerta de enlace S-Terra 7000

3080

2030



¿En qué desempeño debes concentrarte?



En IMIX. El rendimiento máximo de cifrado, por regla general, se logra en

paquetes grandes; difícilmente es aplicable a una red real.



Para evitar caídas, trabajo inestable y desconexiones, debe estimar cuál es el volumen de tráfico promedio que genera una conexión de cliente. Por ejemplo, mis usuarios usan RDP, correo y flujo de trabajo. Calculo el tráfico a 2 Mbps en promedio por conexión. Tengo un total de 1000 Mbps. Agregaré un margen en caso de una carga máxima de 1 Mbit / s por conexión, en total obtengo 1500 Mbit / s en el pico para 500 conexiones simultáneas.



Rechazo S-Terra Gateway 2000. Miro hacia S-Terra Gateway 7000.



Una solución frontal: S-Terra Gateway 7000 y 500 clientes.



Optimizando la solución



Quiero una solución tolerante a fallos, además de reducir el tiempo de espera en la cola. Para esto, estoy considerando opciones. Desbalancearé



dos



Clientes S-Terra Gateway 3000 a la mitad, 250 conexiones cada uno. El tiempo máximo de espera en la cola será 250/10 aproximadamente 25 segundos en la primera conexión. Puedo resolver el problema de las colas al reconstruir túneles configurando DELTA. En caso de falla de una de las puertas de enlace, la carga se moverá a la segunda puerta de enlace (aunque sin margen de rendimiento). Solución



Five S-Terra Gateway 2000



para un rendimiento máximo. 100 conexiones de cliente por puerta de enlace, tiempo de cola máximo de 10 segundos, pero sin margen de rendimiento.



La lista de precios de S-Terra está abierta. Compararé el costo de las soluciones dadas (la tasa de dólar tomó 73 rublos):



Decisión

Precio, frotar

S-Terra Gateway 7000

+ 500 clientes

4 533 270

2 x S-Terra Gateway

3000 + 500 clientes

4 564 680

5 x S-Terra Gateway

2000 + 500 clientes

4980300



Elegiré la segunda opción. Dos clientes S-Terra Gateway 3000 y 500. 31.000 rublos por tolerancia a fallos y tiempo de espera reducido es un buen precio. El sistema de control del proveedor es opcional, si lo desea, tómelo.



Salir



La receta para una deliciosa VPN RA:



  • Determine la cantidad de conexiones de clientes:
  • Estime el volumen de tráfico promedio de una conexión de cliente;
  • Equilibre las conexiones del cliente a través de múltiples puertas de enlace; 
  • Tenga en cuenta las consideraciones arquitectónicas (hacer cola y reconstruir).




Como dice el alumno, ¡redondo!



Ingeniero anónimo

t.me/anonimous.engineer



All Articles